4.1 各項安全管理規範必須遵守政府相關法規之規定。
4.2 應成立個資安全管理組織負責個人資料保護制度之建立及推動事宜以確認本公司個資安全政策能被實施並配置相當資源。定期召開會議以確保個人資料安全維護之整體持續改善。
4.3 應鑑別出內部與外部的利害關係人以及這些利害關係人參與組織個資安全保護的程度，並辨識工作人員的職責及權責。
4.4 向當事人蒐集個人資料時，應符合個資法第19條之規定。
4.5 應維持組織處理個人資料的清單，並建立個人資料之風險評估及管理機制。
4.6 應建立設備、資料安全及人員管理規範及個資事故之預防、通報與應變機制。
4.7 應建立資料安全稽核及必要之使用紀錄、軌跡資料及證據之保存機制，以為後續舉證或證明已盡善良管理人之用。
4.8 定期對同仁實施個資安全認知宣導，並針對個資維護(專責)人員施以適當之教育訓練，以宣導本公司個資安全政策及相關實施規定。
4.9 定期訂定個資內部稽核計畫，檢視本公司個資保護之情形，依稽核報告擬定及執行矯正預防措施。
4.10 僅會基於合法之目的及執行法定義務的必要的範圍內公平並合法的處理個人資料。
4.11 僅會基於合法之目的蒐集最少且必要的個人資訊，處理相關且適當的個人資訊亦不會超出蒐集之目的，對於保存個資的時間須為法律或規定的需求理由或為合法的組織目的。
4.12 維持正確的個人資料並確保其安全，且於必要時維持其資訊為最新的狀態。
4.13 於處理或利用前清楚告知當事人，本公司將會以何種方式使用他們的個人料，並且尊重當事人與其個人資料的相關的權利，包括對於個人資料的存取權。
4.14 本公司保有之個人資料僅限於台灣地區使用，若有轉移到國(境)外之必要將於使用前取得當事人同意後並在有適當且充分保護下為之。
4.15 本公司若有特定目的外之利用，應符合個人資料保護法第20條之例外情形。
4.16 將隱私設計與預設融入公司文化中，確保業務流程中，蒐集、處理及利用個人資訊皆僅限於已識別目的所需。
4.17 本公司承接專案，應依業主之合約及法令法規要求，執行個人資料保護相關作業，並履行個人資料處理者通知個人資料控制者的義務。